Обновлено: июнь 2025

Счётчик стоит на сайте, трафик считается, всё работает — и кажется, что всё в порядке. До тех пор, пока не приходит письмо от Роскомнадзора.

Штраф для юридического лица по статье 13.11 КоАП достигает 300 000 рублей за первичное нарушение, при повторном — до 500 000 рублей. Малый бизнес не исключение: РКН проверяет сайты всех категорий, и счётчик аналитики без оформленного согласия — одно из самых частых нарушений.

Ниже — полный разбор: почему Яндекс.Метрика попадает под закон, какие штрафы реальны, что нужно сделать юридически и технически, чтобы работать без риска.

Примечание о санкциях. Размеры штрафов по ст. 13.11 КоАП РФ периодически меняются. Актуальные редакции уточняйте на официальном портале правовой информации: publication.pravo.gov.ru.

Ключевые понятия: что такое 152-ФЗ и кто такой оператор ПДн

Прежде чем разбирать штрафы и технические настройки — два определения, без которых остальное не сложится.

Федеральный закон № 152-ФЗ «О персональных данных» — основной российский закон, который регулирует сбор, хранение, использование и передачу любых данных, по которым можно идентифицировать человека. Он распространяется на всех: ИП, ООО, НКО, физических лиц с сайтами. Полный текст — на consultant.ru.

Персональные данные (ПДн) — любая информация, прямо или косвенно относящаяся к конкретному физическому лицу. Это не только имя и паспорт. IP-адрес, cookie-идентификатор, история поведения на сайте — всё это ПДн, если по ним можно «вычислить» конкретного человека.

Оператор персональных данных — лицо, которое организует обработку ПДн: решает, какие данные собирать, зачем и как. Если на вашем сайте стоит Яндекс.Метрика — вы оператор. Неважно, ИП вы или ООО. Факт установки счётчика означает, что вы организовали сбор данных ваших посетителей.

Обработка ПДн — любое действие с данными: сбор, запись, хранение, передача, удаление. Счётчик Метрики собирает данные и передаёт их Яндексу — это и есть обработка.

Уточните в первоисточнике: вопрос об отнесении физических лиц, ведущих личные блоги, к операторам ПДн в правоприменительной практике окончательно не устоялся — проверьте актуальные разъяснения РКН на rkn.gov.ru.

Почему Яндекс.Метрика — это обработка персональных данных

Какие данные собирает Метрика

Счётчик при каждом визите пользователя фиксирует и передаёт на серверы Яндекса:

  • IP-адрес посетителя
  • User Agent (браузер, операционная система, устройство)
  • Cookie-идентификаторы (в том числе между сессиями)
  • URL страниц, время на сайте, глубину просмотра
  • Данные о кликах, скроллинге, заполнении форм (если включены запись сессий или карта кликов)
  • Геолокацию (определяется по IP)

Теперь ключевой вопрос: является ли это персональными данными?

Тип данных Является ли ПДн по 152-ФЗ
IP-адрес Да — при наличии возможности идентифицировать человека
Cookie-идентификатор Да — позволяет отслеживать конкретного пользователя
User Agent + IP (в совокупности) Да — совокупность образует идентификатор
Анонимизированный IP (последний октет скрыт) Спорно, но риск остаётся
Данные форм (имя, email) Безусловно да

Роскомнадзор неоднократно разъяснял: IP-адрес в сочетании с поведенческими данными — это персональные данные. Позиция ведомства последовательно ужесточается.

Почему это важно для вас как владельца сайта

Дополнительный риск — передача данных третьим лицам. Счётчик передаёт данные на серверы Яндекса, который выступает самостоятельным получателем этих данных. Само по себе это нарушением не является, однако требует надлежащего документального оформления: упоминания в политике конфиденциальности и актуального уведомления в РКН.

Проще говоря: если Яндекс не упомянут в вашей политике как получатель данных — это нарушение.

Штрафы за нарушения 152-ФЗ при использовании Яндекс.Метрики в 2025 году

Статья 13.11 КоАП — что за что грозит

После поправок 2022–2024 годов санкции существенно выросли. Таблица составлена по состоянию на дату обновления статьи; актуальные редакции уточняйте на publication.pravo.gov.ru.

Нарушение Физлицо Должностное лицо ИП Юрлицо
Обработка ПДн без согласия (ч. 2) до 15 000 руб. до 100 000 руб. до 100 000 руб. до 300 000 руб.
Повторное нарушение по ч. 2 (ч. 2.1) до 30 000 руб. до 200 000 руб. до 200 000 руб. до 500 000 руб.
Нет политики конфиденциальности или она не опубликована (ч. 3) до 3 000 руб. до 6 000 руб. до 10 000 руб. до 30 000 руб.
Обработка сверх целей или без уведомления РКН (ч. 1) до 5 000 руб. до 10 000 руб. до 10 000 руб. до 50 000 руб.
Нарушения при трансграничной передаче (ч. 13, введена с 2024 г.) уточните в первоисточнике уточните в первоисточнике уточните в первоисточнике уточните в первоисточнике

Важно. Одна проверка может выявить сразу несколько нарушений по разным частям статьи. Итоговая сумма складывается. Штраф в 300 000 руб. за счётчик плюс 30 000 руб. за политику — уже 330 000 руб. за один визит инспектора.

Реальные кейсы: кого уже штрафовали

РКН проверяет не только крупные компании. За последние два года среди оштрафованных — интернет-магазины, медицинские клиники, образовательные платформы и небольшие корпоративные сайты.

Типичный сценарий: жалоба от пользователя или плановая проверка. Специалисты РКН заходят на сайт, фиксируют, что Метрика грузится без запроса согласия, в политике не указаны третьи лица, баннер отсутствует или сделан по принципу «закрой и продолжи». Протокол составляется по нескольким частям статьи 13.11 сразу.

Иногда поводом служит жалоба конкурента. Иногда — автоматизированный мониторинг. Размер бизнеса значения не имеет.

Юридический чек-лист: что нужно сделать до запуска Метрики

Шаг 1. Определить, являетесь ли вы оператором ПДн

Вы оператор, если хотя бы одно из следующего верно:

  • На вашем сайте есть счётчик аналитики (Метрика, GA4, любой другой)
  • Есть форма обратной связи, заявки или регистрации
  • Сайт запоминает предпочтения пользователя через cookies
  • Вы используете ретаргетинг или пиксели рекламных систем

Нужно ли уведомлять РКН? По общему правилу — да, до начала обработки (ст. 22 152-ФЗ). Исключения носят узкий характер, и сайт с установленной Метрикой под большинство из них не подпадает. Уведомление подаётся через портал РКН — это бесплатно и занимает около 30 минут.

Шаг 2. Разработать политику конфиденциальности

Ссылка «Политика конфиденциальности» в футере, ведущая на пустой документ или шаблон из 2018 года — это не защита, а дополнительный пункт в протоколе проверки.

Политика должна содержать:

  • Перечень обрабатываемых данных (включая технические: IP, cookies, User Agent)
  • Цели обработки (аналитика посещаемости — самостоятельная цель)
  • Правовое основание обработки (согласие пользователя — ст. 6, 9 152-ФЗ)
  • Указание на Яндекс как получателя данных счётчика
  • Срок хранения данных
  • Права субъекта: доступ, исправление, удаление, отзыв согласия (ст. 14–17 152-ФЗ)
  • Контактные данные оператора

Типичные ошибки, которые сразу видит проверяющий:

  • Яндекс.Метрика вообще не упомянута
  • Написано «мы не передаём данные третьим лицам» при работающем счётчике
  • Нет раздела про cookies
  • Не указан способ отзыва согласия

Шаг 3. Получить согласие пользователя на обработку персональных данных

Здесь важно понять разницу между двумя вещами, которые часто путают.

Cookie-уведомление — просто информирует пользователя о том, что сайт использует cookies. Само по себе согласием на обработку ПДн не является.

Согласие на обработку ПДн — юридически значимое действие. Согласно ст. 9 152-ФЗ оно должно быть:

  • явным — «раз зашёл — значит согласился» не работает
  • информированным — пользователь понимает, кому и зачем передаются данные
  • конкретным — по возможности отдельно на аналитику, отдельно на рекламные цели
  • добровольным — человек должен иметь реальную возможность отказаться
  • отзываемым — должна быть понятная механика отзыва (ст. 9 ч. 2 152-ФЗ)

Форматы получения согласия: баннер с кнопками «Принять» / «Отказаться», чекбокс при регистрации, pop-up с выбором категорий cookies.

Кнопка «Принять» не должна быть единственной. Пользователь обязан иметь возможность отказаться без ущерба для базового функционала сайта.

Техническая настройка: загрузка Яндекс.Метрики только после согласия

Как работает «сбор за согласием»

До того как пользователь нажал «Принять» — Метрика не должна загружаться вообще. Не в фоне, не в отложенном режиме.

Счётчик, который грузится одновременно с баннером, юридически бесполезен: данные уже ушли на серверы Яндекса до получения согласия.

Правильная схема работы:

  1. Страница загружается — Метрика не инициализирована
  2. Показывается баннер согласия
  3. Пользователь нажимает «Принять» — Метрика инициализируется, начинает сбор
  4. Выбор сохраняется в localStorage — при следующих визитах баннер не показывается, Метрика грузится сразу

Способ 1. Настройка через Google Tag Manager

GTM позволяет управлять загрузкой тегов через переменные согласия.

  1. В GTM создайте переменную типа «1st Party Cookie» или используйте DataLayer для передачи статуса согласия
  2. Тегу Яндекс.Метрики назначьте триггер — срабатывание только при consentAnalytics = true
  3. Баннер при принятии согласия пушит событие в DataLayer
document.getElementById('btn-accept').addEventListener('click', function() {
  localStorage.setItem('consent_analytics', 'true');
  window.dataLayer = window.dataLayer || [];
  window.dataLayer.push({
    'event': 'consent_granted',
    'consentAnalytics': true
  });
  document.getElementById('consent-banner').style.display = 'none';
});

Способ 2. Прямая интеграция без GTM

Если GTM не используется, счётчик подключается условно:

function loadMetrika() {
  (function(m,e,t,r,i,k,a){
    m[i]=m[i]||function(){(m[i].a=m[i].a||[]).push(arguments)};
    // ... стандартный код счётчика
  })(window, document, "script", "https://mc.yandex.ru/metrika/tag.js",
  "ym", /* ID счётчика */);
  ym(XXXXXXXX, "init", { clickmap:true, trackLinks:true });
}

// Проверяем согласие при загрузке страницы
if (localStorage.getItem('consent_analytics') === 'true') {
  loadMetrika();
}

// Баннер
document.getElementById('btn-accept').addEventListener('click', function() {
  localStorage.setItem('consent_analytics', 'true');
  loadMetrika();
  document.getElementById('consent-banner').style.display = 'none';
});

Способ 3. Готовое решение — модуль m5

Ручная настройка через код требует разработчика, тестирования и регулярной поддержки. Модуль m5 от ЧистыйСайт решает эту задачу без написания кода:

  • Автоматически блокирует загрузку Метрики до получения согласия
  • Генерирует юридически корректный баннер с нужными кнопками
  • Сохраняет выбор пользователя между сессиями
  • Работает с Яндекс.Метрикой, Google Analytics и другими счётчиками
  • Обновляется при изменении требований законодательства

Подключение занимает около 15 минут без привлечения разработчика.

Анонимизация данных в Яндекс.Метрике

Встроенные инструменты

В настройках счётчика есть опции, снижающие объём собираемых ПДн:

  • «Не сохранять полный IP-адрес» — последний октет IP заменяется нулём (192.168.1.0 вместо 192.168.1.5). Снижает точность геолокации и затрудняет идентификацию пользователя
  • Отключение передачи данных в рекламные системы — данные не используются для таргетинга Яндекс.Директ
  • Ограничение записи сессий — если включён Вебвизор, убедитесь, что маскируются поля форм (настраивается в коде счётчика)

По состоянию на дату обновления статьи: расположение настроек анонимизации IP в интерфейсе Метрики могло измениться — уточните в официальной документации Яндекса. Ориентировочный путь: «Настройки счётчика» → «Фильтры» → «Не сохранять полный IP-адрес посетителей».

Когда анонимизации достаточно, а когда нет

Анонимизация IP снижает риск, но не отменяет требование получить согласие. Cookie-идентификатор Метрики остаётся и позволяет отслеживать пользователя между сессиями — это персональные данные вне зависимости от состояния IP.

Работа без согласия теоретически возможна только при полном отключении cookies, Вебвизора и карт кликов с использованием исключительно агрегированной статистики. На практике это лишает большей части ценности аналитики. Проще получить согласие и работать легально с полным функционалом.

Как выглядит правильный cookie-баннер для 152-ФЗ

Обязательные элементы

Баннер должен содержать:

  • Краткое объяснение того, какие данные и зачем собираются
  • Упоминание Яндекса как получателя данных
  • Кнопку «Принять» — с понятным действием
  • Кнопку «Отказаться» или «Только необходимые» — равнозначно заметную
  • Ссылку на полную политику конфиденциальности

Неправильно:

  • Баннер только с кнопкой «Принять» (нет возможности отказаться)
  • Галочка «Согласен» уже проставлена по умолчанию
  • Кнопка «Отказаться» серая и мелкая, «Принять» — яркая и большая
  • Продолжение работы с сайтом приравнивается к согласию

Готовый шаблон текста для баннера

Мы используем файлы cookie и сервис Яндекс.Метрика для анализа 
посещаемости сайта. Данные (IP-адрес, информация о браузере и 
поведении на сайте) передаются Яндексу. 

Нажимая «Принять», вы соглашаетесь на обработку персональных данных 
в аналитических целях. Подробнее — в Политике конфиденциальности.

[Принять]  [Только необходимые]

Google Analytics и 152-ФЗ: те же правила, дополнительные риски

GA4 работает по тем же требованиям 152-ФЗ, что и Яндекс.Метрика. Но с дополнительным риском: данные передаются на серверы Google за рубежом — это трансграничная передача данных по смыслу ст. 12 152-ФЗ. Она требует либо надлежащего правового основания (в том числе согласия субъекта с указанием страны-получателя и возможных рисков), либо использования серверной версии GA4 с локализацией первичной обработки на территории РФ.

По состоянию на дату обновления статьи: РКН официально не вводил запрет на использование Google Analytics российскими сайтами, однако правоприменительная практика в части трансграничной передачи данных продолжает формироваться. Правовая неопределённость сохраняется. Актуальный перечень стран, обеспечивающих адекватный уровень защиты ПДн, уточняйте на rkn.gov.ru.

Если используете GA4 — в тексте согласия пользователя должно быть явно указано: данные передаются Google LLC, страна получателя — США, а также разъяснены возможные риски такой передачи.

Итоговый чек-лист: привести сайт в соответствие с 152-ФЗ

  • Определил себя как оператора ПДн
  • Подал уведомление в РКН через портал pd.rkn.gov.ru
  • Разработал политику конфиденциальности с упоминанием Яндекс.Метрики и Яндекса как третьего лица — получателя данных
  • Опубликовал политику на сайте (реально доступный документ, не заглушка)
  • Установил баннер согласия с кнопками «Принять» и «Отказаться»
  • Настроил отложенную загрузку Метрики — счётчик стартует только после согласия
  • Включил анонимизацию IP в настройках счётчика
  • Проверил загрузку через DevTools: в Network запросов к mc.yandex.ru не должно быть до клика «Принять»
  • Убедился, что отзыв согласия реально работает — пользователь может изменить выбор

Часто задаваемые вопросы

Нужно ли согласие, если я использую Метрику только для статистики, без рекламы?

Да. Согласие требуется на обработку персональных данных, а не на рекламу. Аналитика посещаемости — самостоятельная цель обработки, которая требует согласия субъекта. Иного законного основания для сайтовой аналитики, как правило, нет.

Достаточно ли ссылки на политику конфиденциальности в футере?

Нет. Ссылка — это ознакомление с документом, не согласие. Согласие требует активного, явного и информированного действия пользователя: нажатия на кнопку или проставления галочки.

Что будет, если пользователь откажется от согласия — Метрика перестаёт работать?

Да, для этого пользователя счётчик не должен загружаться. Вы теряете данные по отказавшимся визитам — это нормально и прямо следует из логики 152-ФЗ. На практике доля отказавшихся обычно не превышает 10–15%.

Проверяет ли РКН малый бизнес и ИП?

Проверяет. Плановые проверки, внеплановые по жалобам, автоматизированный мониторинг — всё это применяется вне зависимости от размера бизнеса. Жалобу может подать конкурент, недовольный клиент или любой пользователь сайта.

Можно ли использовать Метрику вообще без cookies и без согласия?

Технически — да, если полностью отключить cookie-идентификаторы и исключить иные средства идентификации пользователей. Практически — вы теряете сквозную аналитику, Вебвизор, аудиторные сегменты. Разумнее получить согласие и работать с полным функционалом легально.

Главный вывод

Яндекс.Метрика без оформленного согласия — это не «серая зона», а конкретное нарушение 152-ФЗ с измеримыми штрафами до 300 000 рублей за первое нарушение. Приведение сайта в соответствие занимает от нескольких часов при ручной настройке до 15 минут с готовым модулем. Цена бездействия кратно выше.

Проверьте свой сайт прямо сейчас

Откройте DevTools (F12), вкладку Network, зайдите на главную страницу вашего сайта и посмотрите: есть ли запросы к mc.yandex.ru до любого взаимодействия с баннером? Если есть — сайт нарушает 152-ФЗ в эту минуту.

Если хотите настроить всё правильно без погружения в юридические тонкости и написание кода — подключите модуль m5. Он закрывает требования 152-ФЗ в части аналитики: блокировка счётчика до согласия, корректный баннер, сохранение выбора пользователя, совместимость с Яндекс.Метрикой и Google Analytics.

Не уверены, всё ли в порядке с вашим сайтом? Бесплатно проверьте его на соответствие 152-ФЗ — воспользуйтесь сервисом ЧистыйСайт. Проверка занимает несколько минут и покажет конкретные нарушения, если они есть.